[ Pobierz całość w formacie PDF ]
.Jest tozaawansowana funkcja, która szczegółowo została omówiona w IPCHAINS-HOWTO.-yPowoduje, że do reguły pasują wszystkie datagramy TCP z ustawionym bitem SYN i wyzerowanymibitami ACK i FIN.Jest używana do filtrowania żądań nawiązania połączenia TCP.5.2.Korzystanie z łańcuchów5.2.1.A
ańcuchy definiowane przez użytkownikaTrzy zestawy reguł dla tradycyjnego firewalla IP stanowią mechanizm tworzenia prostych konfiguracjifirewalla, którymi łatwo jest zarządzać w małych sieciach o niewielkich wymaganiach wobec systemubezpieczeństwa.Gdy wymagania konfiguracyjne wzrastają, pojawia się szereg problemów.Po pierwsze,duże sieci często wymagają dużo więcej reguł firewalla, niż tych kilka, z którymi się do tej poryspotkaliśmy.Nieuchronnie rosną potrzeby dodawania do firewalla reguł obsługujących przypadkiszczególne.Gdy liczba reguł rośnie, wydajność firewalla pogarsza się, bo na każdym datagramie jestprzeprowadzanych coraz więcej testów; problemem staje się też zarządzanie.Po drugie, nie jest możliwePlik: final_dokumentation_release_2.0 Wersja: 1.0- z dnia 21.06.2002 Stron: 63 Długość: 872 kBCopyright � 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż.Bogusław Juza26Piotr Nowak, Artur Majka, Dariusz Kościelniak Firewall - metody filtracjiwłączanie i wyłączanie zestawu reguł w sposób rozdzielny.Gdy jesteśmy w trakcie przebudowy zestawureguł, narażamy sieć na ataki.Zasady budowy łańcuchów IP pomagają złagodzić te problemy, gdyż umożliwiają administratorowitworzenie dowolnych zestawów reguł firewalla, które można następnie dołączać do trzech wbudowanychzestawów reguł.Do utworzenia nowego łańcucha można użyć opcji  N programu ipchains.Trzeba podaćjego nazwę, składającą się z 8 (lub mniejszej ilości) znaków.Opcja  j konfiguruje działanie podejmowanewtedy, gdy datagram pasuje do wymagań reguły.Mówi, że jeżeli datagram będzie pasował do reguły, dalszetestowanie powinno być realizowane w łańcuchu zdefiniowanym przez użytkownika.Rozważmy następujące polecenia ipchains:ipchains -P input DENYipchains -N tcpinipchains -A tcpin -s ! 172.16.0/16ipchains -A tcpin -p tcp -d 172.16.0/16 ssh -j ACCEPTipchains -A tcpin -p tcp -d 172.16.0/16 www -j ACCEPTipchains -A input -p tcp -j tcpinipchains -A input -p allDomyślną politykę łańcucha wejściowego ustawiamy na deny.Drugie polecenie tworzy definiowany przezużytkownika łańcuch o nazwie  tcpin.Trzecie polecenie dodaje do łańcucha tcpin regułę, do której pasująwszystkie datagramy pochodzące spoza naszej sieci lokalnej.Nie jest podejmowane żadne dodatkowedziałanie.Jest to reguła zliczająca.Do następnych dwóch reguł pasują datagramy przeznaczone dla naszejsieci lokalnej na porty ssh lub www.Pasujące datagramy są akceptowane.W następnej regule tkwiprawdziwa magia ipchains.Reguła ta powoduje, że oprogramowanie firewalla sprawdza każdy datagramTCP za pomocą łańcucha tcpin, zdefiniowanego przez użytkownika.Na koniec dodajemy regułę do naszegołańcucha input, do którego pasuje każdy datagram.Jest to kolejna reguła zliczająca.W ten sposóbuzyskujemy łańcuchy firewalla pokazane na poniższym Rysunku 3.Rysunek 3.Prosty zestaw reguł łańcucha IPPlik: final_dokumentation_release_2.0 Wersja: 1.0- z dnia 21.06.2002 Stron: 63 Długość: 872 kBCopyright � 2002 Akademia Górniczo-Hutnicza Prowadzenie zajęć: mgr inż.Bogusław Juza27Piotr Nowak, Artur Majka, Dariusz Kościelniak Firewall - metody filtracjiNasze łańcuchy input i tcpin są zapełniane regułami.Przetwarzanie datagramu zawsze rozpoczyna się wjednym z łańcuchów wbudowanych.Zobaczymy, jak zdefiniowany przez nas łańcuch jest używany przyprzetwarzaniu różnych typów datagramów.Najpierw przyjrzymy się, co się dzieje, gdy zostanie odebranydatagram UDP dla jednego z naszych hostów.Rysunek 4 pokazuje przepływ przez reguły.Rysunek 4.Kolejność sprawdzanych reguł dla odebranego datagramu UDPDatagram zostaje odebrany przez łańcuch input, ale nie pasuje do dwóch pierwszych reguł, ponieważ pasujądo nich tylko datagramy protokołów ICMP i TCP.Zostaje dopasowany do trzeciej reguły łańcucha input,która nie zawiera celu.Są więc uaktualniane liczniki bajtowy i datagramów, ale nie jest podejmowane żadneinne działanie [ Pobierz całość w formacie PDF ]